Você precisa fazer a autenticação na API DLP para usá-la. A API DLP pode usar chaves de API ou autenticação. Veja abaixo a principal diferença entre os dois métodos:
- As chaves de API identificam o projeto (o app ou o site) que está chamando a API.
- Os tokens de autenticação identificam um usuário (a pessoa) que está usando o projeto.
Como usar chaves de API para acesso não autenticado
É possível usar uma chave de API do console do Google Cloud para fazer a autenticação na
API DLP para alguns métodos, incluindo todos os métodos
projects.content.*
e
projects.image.*
.
- Siga as instruções para criar uma chave de API para o projeto do console do Google Cloud.
- Ao fazer qualquer solicitação de API DLP, transmita a chave como o valor de um parâmetro
key
. Exemplo:curl https://dlp.googleapis.com/v2/infoTypes?key=[YOUR_API_KEY]
É importante proteger suas chaves de API contra uso não autorizado. Para receber orientações sobre como fazer isso, consulte Práticas recomendadas para usar as chaves de API com segurança.
usar uma conta de serviço
Para usar uma conta de serviço para fazer a autenticação na API DLP:
- siga as instruções para criar uma conta de serviço. Selecione JSON como o tipo de chave e conceda ao usuário o papel Usuário da DLP (roles/dlp.user).
Para mais informações sobre como conceder papéis a contas de serviço, consulte este artigo.
Depois dessa etapa, será feito o download da sua chave da conta de serviço para o local padrão do navegador.
Em seguida, decida se você disponibilizará a autenticação da conta de serviço como um token do portador ou por meio de credenciais padrão do aplicativo.
Tokens do portador usando uma conta de serviço
Ao chamar a API DLP diretamente, por exemplo, com uma solicitação HTTP com cURL, a autenticação será passada como um token do portador em um cabeçalho de solicitação de autorização HTTP. Para receber um token do portador usando sua conta de serviço, siga estas etapas:
- Instale a Google Cloud CLI.
- Autentique sua conta de serviço substituindo [KEY_FILE] abaixo pelo caminho para o arquivo de chave da conta de serviço:
gcloud auth activate-service-account --key-file [KEY_FILE]
- Consiga um token de autorização usando a conta de serviço:
O comando retorna um valor de token de acesso.gcloud auth print-access-token
- Ao chamar a API, transmita o valor do token como um token
bearer
em um cabeçalhoAuthorization
:curl -s -H 'Content-Type: application/json' \ -H 'Authorization: Bearer [ACCESS_TOKEN]' \ 'https://dlp.googleapis.com/v2/infoTypes'
Application Default Credentials
Se você estiver usando uma biblioteca de cliente para chamar a API DLP, use o Application Default Credentials (ADC).
Os serviços que utilizam o ADC procuram credenciais em uma variável de ambiente GOOGLE_APPLICATION_CREDENTIALS
. A menos que você queira especificamente que o ADC use outras credenciais (por exemplo, credenciais de usuário), aponte essa variável de ambiente para o arquivo de chave da sua conta de serviço.
export GOOGLE_APPLICATION_CREDENTIALS=[PATH_TO_KEY_FILE]
Como usar a Proteção de dados sensíveis em VMs do Compute Engine
Para acessar a API DLP em instâncias de VM, selecione Permitir acesso completo a todas as APIs do Cloud na seção Identidade e acesso à API ao criar a VM.